Forschungsartikel
COMPLIANCE IN DEUTSCHLAND – EINE EINFÜHRUNG ALMANYA’DA UYUMLULUK – GİRİŞ
Dr. Karen KLEIN*
ÖZ
Uyumluluk, yüksek zarar ve itibar kaybı potansiyeli nedeniyle Alman şirketleri için önemli bir konudur. Günümüzde özellikle yolsuzluk ve antitröst yasası ihlal-leri söz konusu olduğunda, uyumluluk ihlalihlal-leri için kesilen para cezaları 1 milyar Euro seviyesine kadar çıkabilmektedir. Ayrıca, uyumluluk ihlallerinin tespit edil-diği şirketler Alman medyasında haber haline gelmekte ve bu da şirketlerin itiba-rının ciddi şekilde zarar görmesine neden olmaktadır. Bu nedenle, temel uyum-luluk hedeflerinden biri, uygun, risk bazlı bir uyum organizasyonu (önleyici uyumluluk) oluşturarak önceden sorumluluğu önlemektir. Buna rağmen uyum-suzluk sorunları ortaya çıkarsa, bunların da tespit edilip çözülmeleri gerekmek-tedir (baskıcı uyumluluk).
Anahtar Kelimeler: Uyumluluk organizasyonu, önleyici uyumluluk,
baskıcı uyumluluk, sorumluluğun önlemesi, yolsuzluk, antitröst yasası
* Dr. Karen Klein, Dozentin an der Türkisch-Deutschen Universität in Istanbul im Bereich Privatrecht (karen.klein@tau.edu.tr). ORCID: 0000-0003-0544-4738
COMPLIANCE IN GERMANY – AN INTRODUCTION
ABSTRACT
Compliance is a topic which is significant for German companies due to its high potential for damages and loss of reputation. Fines for compliance violations can now-adays even hit the 1 billion Euro level, especially when it comes to cases of corruption and violations of antitrust law. Furthermore, companies in which compliance viola-tions have been detected become news in German media, which generally leads to a considerable damage of the companies’ reputation. That is why one of the main pliance goals is to avoid liability beforehand by establishing a proper, risk-based com-pliance organization (preventive comcom-pliance). If issues of non-comcom-pliance occur nev-ertheless, they have to be detected and resolved accordingly (repressive compliance).
Keywords: Compliance organization, preventive compliance,
repressive compliance, avoidance of liability, corruption, antitrust law
EINLEITUNG
In der deutschen Unternehmenspraxis ist der Bereich Compliance von herausragender Bedeutung. Dies liegt vor allem daran, dass Unternehmen bei Compliance-Verstößen enorm hohe Schäden drohen, die insbesondere aus Bußgeldern und einem kaum in Geld messbaren Reputationsverlust resultieren. Darüber hinaus setzen sich Geschäftsleitung und Mitarbeiter auch persönlich nicht zu unterschätzenden Haftungsrisiken aus. Vor die-sem Hintergrund möchte der Beitrag einen Überblick über den Bereich Compliance in Deutschland geben. Nach einer Klärung von Begriff und historischer Entwicklung (dazu I.) werden die rechtstatsächliche Bedeu-tung (dazu II.) und die Rechtsgrundlagen der Compliance (dazu III.) dar-gestellt. Anschließend werden verschiedene Aspekte der präventiven (dazu IV.) und der repressiven Compliance (dazu V.) beleuchtet, wobei ein Schwerpunkt auf die Bereiche Antikorruptions- und Kartellrechts-Compliance gesetzt wird. Der Beitrag schließt mit einem Ausblick (dazu VI.
I. Begriff und historische Entwicklung
Der Begriff „Compliance“ stammt ursprünglich aus dem angloameri-kanischen Rechtsraum.1 Er beschreibt zunächst eine reine
Selbstverständ-lichkeit, nämlich die Pflicht des Unternehmens, der Geschäftsleitung und der Mitarbeiter, sich an das geltende Recht zu halten.2 Darüber hinaus
um-fasst der Begriff aber auch alle Organisationsmaßnahmen, die erforderlich sind, um dieses rechtmäßige Verhalten sicherzustellen.3 In einem Konzern
beschränkt sich diese Compliance-Verantwortung nicht auf die Konzerno-bergesellschaft, sondern erstreckt sich auch auf alle Konzernunternehmen. Für den Fall, dass ausländische Tochtergesellschaften vorhanden sind, kommt dem Bereich Compliance deshalb auch eine internationale Dimen-sion zu.4
Während in den USA Compliance seit Jahrzehnten eine Rolle spielt, hat dieser Bereich in Deutschland – jedenfalls als eigenständiges Rechts-gebiet – erst relativ spät Aufmerksamkeit erfahren. Auslöser für diese Fo-kussierung war die sog. Siemens-Korruptionsaffäre. Diese Affäre begann im Jahr 2006, als bekannt wurde, dass im Siemens-Konzern eine weitverb-reitete Bestechungspraxis bestand und Mitarbeiter mithilfe von schwarzen Kassen und fiktiven Beraterverträgen unrechtmäßige Zahlungen an ausländische Amtsträger und Geschäftspartner leisteten. Die Siemens-1 Den USA wird allgemein eine Vorreiterfunktion im Bereich Compliance zugeschrie-ben. In dieser Hinsicht ist insbesondere der U.S. Foreign Corrupt Practices Act (FCPA) von 1977 zu nennen, der Bestechungszahlungen an ausländische Amtsträger verbietet, vgl. hierzu Cohen/Holland, CCZ 2008, 7-11 und Spehl/Grützner, CCZ 2013, 198-204. Hervorzuheben sind auch die aus dem Jahr 1991 stammenden U.S. Sentencing Guide-lines, die Grundsätze für die Strafzumessung festlegen, wobei die Strafhöhe entschei-dend davon abhängt, ob ein Unternehmen über ein effektives Compliance-Programm verfügt, vgl. hierzu Hopson/Graham Koehler, CCZ 2008, 208-213 und Hauschka/Moosmayer/Lösler, in: Hauschka/Moosmayer/Lösler, Corporate
Compli-ance, 3. Aufl. 2016, § 1 Rn. 74-79.
2 Dabei geht es nicht nur um die Einhaltung von (insbesondere straf- und bußgeldbewehr-ten) Gesetzen, sondern auch um innerbetriebliche Ausführungsregelungen der Unter-nehmen, vgl. Moosmayer, Compliance, 3. Aufl. 2015, Rn. 1.
3 Balke, in: Münchener Handbuch des Gesellschaftsrechts, 5. Aufl. 2016, Bd. 7, § 111 Rn. 3; Straube/Rasche, Arbeitsrechtliche Korruptionsbekämpfung, 1. Aufl. 2017, C.I. Rn. 19.
4 Fleischer, CCZ 2008, 1-6; Schneider, NZG 2009, 1321-1326; Sonnenberg, JuS 2017, 917, 921-922.
Korruptionsaffäre wurde nicht nur eingehend in den deutschen Medien be-handelt, sondern auch in der juristischen Literatur aufgegriffen.5 Danach
häuften sich die Meldungen über Compliance-Skandale auch in anderen deutschen Unternehmen.6 Seit dieser Zeit hat der Bereich Compliance
kontinuierlich an Bedeutung zugenommen.
II. Rechtstatsächliche Bedeutung
Diese steigende Bedeutung ist nicht zuletzt auf das enorme Schadens-potential zurückzuführen, das mit Compliance-Verstößen einhergeht. So können Bußgelder in Kartellverfahren mittlerweile die Dimension von 1 Milliarde Euro erreichen.7 Hinzu kommen Schadensersatzansprüche
Dritter, wie sie beispielsweise von kartellgeschädigten Kunden im Rah-men sog. „Follow-on-Klagen“ geltend gemacht werden. Bei diesen Kla-gen handelt es sich um private SchadensersatzklaKla-gen, die eingereicht wer-den, nachdem ein Kartellverstoß von einer Wettbewerbsbehörde festges-tellt wurde. Nicht zu vernachlässigen sind auch die Kosten für die Aufklärung von Compliance-Vorfällen, die bei umfangreichen Compli-ance-Sachverhalten und Hinzuziehung externer Berater ebenfalls hohe Beträge erreichen können. Ferner können Unternehmen wegen fehlender vergaberechtlicher Zuverlässigkeit von öffentlichen Aufträgen ausgesch-lossen werden und müssen deshalb mit Umsatzeinbußen rechnen. Nicht zu unterschätzen ist auch der mit Compliance-Verstößen einhergehende Re-putationsverlust, der kaum in Geld bezifferbar ist. Hinzu kommen die Haf-tungsrisiken von Geschäftsleitung und Mitarbeitern, die sich nicht nur der 5 Wie Harbarth/Brechtel, ZIP 2016, 241, 246 f., feststellen, sind seit dem Jahr 2006 die Auseinandersetzungen mit dem Thema Compliance in Deutschland fast explosionsartig angestiegen.
6 Betroffen waren etwa die Deutsche Telekom, Daimler, die Deutsche Bank oder MAN, vgl. die insgesamt 10 Compliance-Vorfälle umfassende Aufstellung von Kalbhenn,
Handelsblatt online v. 16.5.2012, Compliance: Die größten Skandale in deutschen
Kon-zernen, abrufbar unter https://www.handelsblatt.com/unternehmen/beruf-und-bu-
ero/buero-special/compliance-die-groessten-skandale-in-deutschen-konzer-nen/6641352.html (Abruf am 28.11.2019).
7 Vgl. die Kartellstatistik der Europäischen Kommission, abrufbar unter https://ec.eu-ropa.eu/competition/cartels/statistics/statistics.pdf (Abruf am 28.11.2019). Da es in Deutschland kein Unternehmensstrafrecht gibt, spielen für das deutsche Recht die §§130, 30 OWiG eine maßgebliche Rolle.
Gefahr von Schadensersatzansprüchen und Kündigungen aussetzen, son-dern möglicherweise auch strafrechtlich belangt werden können.8 Ziel der
Unternehmen ist es deshalb, Compliance-Verstöße durch entsprechende Organisationsmaßnahmen von vorneherein zu vermeiden.
Aber auch bei eingetretenen Compliance-Verstößen besteht ein Inte-resse daran, diese im Sinne einer ordnungsgemäßen Compliance aufzuar-beiten und abzustellen. Beides dient unter anderem dazu, den eingetrete-nen Reputationsschaden zu begrenzen und gegenüber der Öffentlichkeit klarzustellen, dass sich das Unternehmen ernsthaft um die Einhaltung der Rechtsregeln bemüht. Gleichzeitig kommt der Aufarbeitung auch eine Sig-nalwirkung gegenüber den Mitarbeitern des Unternehmens zu, da andern-falls leicht der (für die Geschäftsleitung haftungsrechtlich relevante) Ein-druck entstehen könnte, dass Compliance-Verstöße nicht geahndet oder womöglich sogar geduldet werden. Ferner sind Compliance-Bemühungen ein wichtiger Teil der sog. Selbstreinigung, die es einem Unternehmen ermöglicht, wieder an Vergabeverfahren öffentlicher Auftraggeber teil-zunehmen (§ 125 Abs. 1 Nr. 3 GWB).9 Und schließlich hat der 1.
Strafse-nat des BGH jüngst entschieden, dass ein effizientes Compliance-System strafmildernd bei der Bemessung einer Unternehmensgeldbuße berücksichtigt werden könne. Nach den Ausführungen des Gerichts könne eine Rolle spielen, ob das Unternehmen in der Folge des Compliance-Verstoßes entsprechende Regelungen optimiert und betriebsinterne Abläufe so gestaltet habe, dass vergleichbare Normverletzungen zukünftig deutlich erschwert würden.10
III. Rechtsgrundlage
Hinsichtlich der Rechtsgrundlage ist zwischen der Pflicht zur Einhal-tung von Recht und Gesetz und zwischen der Compliance-Organisa-tionspflicht zu differenzieren.
Die Geschäftsleitung muss sich zunächst selbst rechtstreu verhalten („Legalitätspflicht“). Der Vorstand einer AG hat beispielsweise nach § 76 Abs. 1 AktG die Gesellschaft unter eigener Verantwortung zu leiten. Aus 8 In Betracht kommen z.B. wettbewerbsbeschränkende Absprachen bei Ausschreibungen (§ 298 StGB), Betrug bei Preisabsprachen (§ 263 StGB) oder Bestechungsdelikte (§§331 ff. StGB und §§ 299 ff. StGB).
9 Hierzu Kaufmann, in: Pünder/Schellenberg, Vergaberecht, 3. Aufl. 2019, § 125 GWB Rn. 29.
diesem Grund hat er auch dafür Sorge zu tragen, dass alle die AG betref-fenden Rechtsvorschriften eingehalten werden.11 Darüber hinaus muss die
Geschäftsleitung sicherstellen, dass auch die Mitarbeiter des Unterneh-mens nicht gegen Recht und Gesetz verstoßen („Legalitätskont-rollpflicht“). Hieraus folgt wiederum die Pflicht, geeignete organisato-rische Maßnahmen zu treffen, um das rechtskonforme Verhalten der Mi-tarbeiter sicherzustellen („Compliance-Organisationspflicht“). Rechtsnormen, die diesen letzten Aspekt ausdrücklich festschreiben, sind jedoch nur selten zu finden.
Lediglich im Bereich der Finanz- und Versicherungsbranche (sog. „re-gulierter Bereich“) wird die Einrichtung von Compliance-Systemen in speziellen Rechtsgrundlagen vorgegeben. Nach § 25a Abs. 1 KWG muss beispielsweise ein Kredit- oder Finanzdienstleistungsinstitut über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der von dem Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. In § 25a Abs. 1 Satz 3 Nr. 3 c) KWG wird darüber hinaus ausdrücklich die Einrichtung einer „Compliance-Funktion“ gefordert.12
Woraus sich die Compliance-Organisationspflicht für Unternehmen außerhalb des regulierten Bereichs ergibt, ist in der Literatur immer noch umstritten. Teilweise wird auf spezielle aktienrechtliche Pflichten des Vorstands verwiesen, darunter insbesondere die Pflicht, ein Überwach-ungssystem einzurichten, um den Fortbestand der Gesellschaft gefährdende Entwicklungen rechtzeitig zu erkennen.13 Teilweise wird
11 Balke (wie Fn. 3), § 111 Rn. 3.
12 Ähnliches gilt z.B. nach § 29 VAG für Versicherungsunternehmen und nach § 80 Abs. 1 Satz 1 WpHG (der auf § 25a KWG verweist) für Wertpapierdienstleistungsunterneh-men.
13 Zur aktienrechtlichen Begründung z.B. Schwintowski, NZG 2005, 200, 201 f. Nach §93 Abs. 1 Satz 1 AktG haben Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Nach § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefähr-dende Entwicklungen früh erkannt werden. Allerdings findet das Aktienrecht nur auf Aktiengesellschaften und damit nur auf einen Teil der Unternehmen Anwendung. Zu-dem sind Schäden, die durch Compliance-Verstöße eintreten, zwar regelmäßig hoch, die Grenze der Bestandsgefährdung dürfte aber nur in seltenen Fällen erreicht werden. Zum ersten Kritikpunkt Moosmayer (wie Fn. 2), Rn. 10, zum zweiten Kritikpunkt Flei-scher, in: Spindler/Stilz, AktG, 4. Aufl. 2019, § 91 Rn. 48.
§130 Abs. 1 Satz 1 OWiG angeführt, der die Unterlassung von Aufsichts-maßnahmen durch den Inhaber eines Betriebs oder Unternehmens zum Gegenstand hat.14 Schließlich wird eine Gesamtanalogie der genannten
Vorschriften ebenso zur Begründung herangezogen15 wie die allgemeinen
Leitungspflichten der Geschäftsleiter.16 Unabhängig von der konkreten
Verortung der Compliance-Organisationspflicht im Einzelnen, ist der Pflichtenrahmen als solcher jedoch mittlerweile anerkannt.17
IV. Präventive Compliance
Der Bereich Compliance wird üblicherweise in zwei große Teilgebiete untergliedert: Den präventiven und den repressiven Bereich. Der Bereich der präventiven Compliance umfasst den vorbeugenden Aspekt und will das Eintreten von Compliance-Verstößen möglichst verhindern. Dieser Bereich wird allgemein mit der Pflichtentrias „organisieren, kontrollieren und fortentwickeln“ umschrieben.
a. Organisationspflicht
In präventiver Hinsicht trifft die Geschäftsleitung zunächst eine Orga-nisationspflicht, d.h. sie muss geeignete organisatorische Maßnahmen tref-fen, um ein Fehlverhalten der Mitarbeiter möglichst erst gar nicht aufkom-men zu lassen. Diese Organisationspflicht ist spätestens seit der Grund-satzentscheidung des Landgerichts München I in der Sache „Siemens/Neu-bürger“ anerkannt. In diesem, im Rahmen der Aufarbeitung der Korrup-14 Zur Begründung über das OWiG z.B. Moosmayer (wie Fn. 2), Rn. 10. § 130 Abs. 1
Satz 1 OWiG lautet: „Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehö-rige Aufsicht verhindert oder wesentlich erschwert worden wäre.“ Aus § 130 OWiG dürften indes nur Einzelpflichten folgen, die sich insbesondere auf die Kontrolle und stichprobenhafte Überwachung der Mitarbeiter beziehen, nicht zwangsläufig aber im Sinne von gesamthaften Organisationsvorgaben zu verstehen sind, Balke (wie Fn. 3), § 111 Fn. 19.
15 Zu einer Gesamtanalogie z.B. Schneider, ZIP 2003, 645, 649. 16 Balke (wie Fn. 3), § 111 Rn. 5.
17 Fleischer, in: Spindler/Stilz, AktG, 4. Aufl. 2019, § 91 Rn. 48; Balke (wie Fn. 3), § 111 Rn. 4; Sonnenberg, JuS 2017, 917, 917 jeweils m.w.N. Vgl. auch Ziff. 4.1.3 DCGK (Deutscher Corporate Governance Kodex). Kritisch hingegen Koch, in: Hüffer/ Koch,
tionsaffäre geführten Prozess verklagte die Siemens AG ihren ehemaligen Finanzvorstand auf Zahlung von Schadensersatz. Das Landgericht München I gab der Klägerin recht. Das Gericht betonte, dass ein Vor-standsmitglied dafür Sorge tragen müsse, das Unternehmen so zu organi-sieren und zu beaufsichtigen, dass keine Gesetzesverstöße erfolgten. Fer-ner heißt es:
„Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Scha-densprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vor- schriften, die geografische Präsenz wie auch Verdachtsfälle aus der Ver-gangenheit.“18
Die Organisationspflicht besteht damit nicht für alle Unternehmen in gleichem Umfang. Vielmehr ist sie abhängig von der konkreten Risi-koexposition des Unternehmens, die wiederum maßgeblich von Größe, Geschäftstätigkeit und Branchenzugehörigkeit oder bereits eingetretenen Verdachtsfällen beeinflusst wird. Um die Risikoexposition bestimmen zu können, muss die Geschäftsleitung deshalb zunächst eine Risikoanalyse durchführen. Diese ist zentral, um die bestehenden Rechtsrisiken in einem ersten Schritt ermitteln und sodann gewichten zu können. Erst danach kann mit der Einführung von konkreten Compliance-Maßnahmen begonnen werden.19 Allgemeingültige Compliance-Standards lassen sich dabei nur
eingeschränkt formulieren, da jede Compliance-Maßnahme konkret auf das jeweilige Unternehmen und dessen spezielle Situation abzustimmen ist. Dennoch gibt es einzelne Punkte, denen grundsätzlich Beachtung ge-schenkt werden sollte. Diese Punkte werden nachfolgend aufgeführt. 18 LG München I, Urt. v. 10.12.2013 – 5 HK O 1387/10, BeckRS 2014, 1998, erster
Le-itsatz (Siemens/Neubürger).
19 In der Praxis werden hierfür verstärkt Rahmenwerke und Leitlinien angeboten, mit de-nen Unternehmen eine Handreichung zum Aufbau einer ordnungsgemäßen Compli-ance-Organisation gegeben werden soll. Zu nennen sind hier beispielweise der Stan-dard IDW PS 980 des Instituts der Wirtschaftsprüfer, besondere regulatorische Vorga-ben wie die von der BaFin erlassenen Mindestanforderungen an das Risikomanage-ment (MaRisk) oder die Mindestanforderungen an die Compliance-Funktion (Ma-Comp) sowie der UN Global Compact als internationale Initiative für verantwortungs-volle Unternehmensführung. Zur Vorstandshaftung wegen fehlerhafter Ausrichtung der Compliance-Organisation vgl. Balke/Klein, ZIP 2017, 2038-2046.
aa. Tone from the top
Grundlegend für den Erfolg eines Compliance-Programms ist zunächst die Einstellung der Geschäftsleitung, da diese maßgeblich dazu beiträgt, ob sich in einem Unternehmen ein Compliance-Bewusstsein entwickeln kann. Die Geschäftsleitung muss diesen Prozess fördern, indem sie den Mitarbeitern die Notwendigkeit eines Compliance-Programms glaubhaft vermittelt und sich für dessen Implementierung einsetzt (sog. „tone from the top“). Die Unternehmensleitung muss dabei klar machen, dass die Ein-haltung des Rechts selbst dann Vorrang genießt, wenn hierdurch Geschäftschancen nicht wahrgenommen werden können.20
bb. Aufbau einer Compliance-Organisation
Ferner ist zu überlegen, wie eine Compliance-Organisation im Unter-nehmen aufgebaut werden soll.21 Dabei kommen verschiedene
Organisa-tionsmodelle in Betracht.
Abhängig von der Größe des Unternehmens kann der Aufbau einer au-tonomen Compliance-Organisation in Erwägung gezogen werden, die alle Compliance-Aufgaben selbstständig wahrnimmt. An der Spitze dieser Or-ganisation steht meist ein Chief Compliance Officer, an den alle nachge-lagerten Ebenen berichten. Diese Compliance-Organisation muss über ein eigenes Budget verfügen, aus ausreichendem und fachlich qualifiziertem Personal bestehen und in die operative Geschäftstätigkeit eingebunden sein. Der Vorteil der autonomen Compliance-Organisation besteht in der Bündelung von Wissen, ihr Nachteil in einem erhöhten Einsatz an finan-ziellen und personellen Ressourcen.22
20 Moosmayer (wie Fn. 2), Rn. 144; Balke (wie Fn. 3), § 112 Rn. 12; Schröder, CCZ 2015, 63, 64.
21 Deutsche Unternehmen haben in den vergangenen Jahren ihre Compliance-Organisa-tion verstärkt auf- bzw. ausgebaut. Laut einer aktuellen Studie von CMS (Compliance-Barometer) steigt die Zahl der Unternehmen mit eigener Compliance-Abteilung konti-nuierlich. Es bestehe jedoch ein Gefälle zwischen Unternehmen mit weniger als 5.000 Mitarbeitern (39% verfügen über eine eigene Compliance-Abteilung) und Unterneh-men mit mehr als 5.000 Mitarbeitern (75% verfügen über eine eigene Abteilung). Allerdings werde laut CMS in kleineren Unternehmen die Compliance-Funktion häufig von anderen Abteilungen wie z.B. der Rechts- oder Controlling-Ab-teilung übernommen, vgl. Potinecke/Block, comply 2/2018, 25, abrufbar unter https://www.bundesanzeiger-verlag.de/fileadmin/Betrifft-Unternehmen/Arbeitshil-fen/Fachbeitraege/AktuelleCompliancePraxis.pdf (Abruf am 28.11.2019). 22 Moosmayer (wie Fn. 2), Rn. 106 f.
In einem anderen Organisationsmodell wird die Compliance-Organi-sation in eine bestehende Matrix-OrganiCompliance-Organi-sation eingebunden. Hierzu wird beispielsweise ein Compliance-Komitee aus Mitgliedern verschiedener Fachabteilungen gebildet, in dem insbesondere die Rechts-, Revisions-, Finanz- und Personalabteilung vertreten sein sollten. In diesem Fall beschränkt sich die Aufgabe des Compliance-Komitees auf die Prävention. Die repressiven Aufgaben werden von dem Compliance-Komitee ledig-lich fachledig-lich koordiniert, aber von anderen Fachabteilungen durchgeführt. Diese Ausgestaltung ist zwar kostengünstiger als die autonome Compli-ance-Organisation, erfordert aber auch einen höheren Abstimmung-saufwand und geht mit einem gewissen Verlust an Expertenwissen ein-her.23
Beide Organisationsmodelle bieten sich grundsätzlich nur für Unter-nehmen ab einer gewissen Größe an. Kleinere und mittlere UnterUnter-nehmen werden oft nicht die Kapazitäten haben, um eine eigenständige Compli-ance-Organisation vorzuhalten. Deshalb ist es in diesen Unternehmen ebenso denkbar, die Compliance-Aufgabe an die Rechtsabteilung oder eine andere Abteilung anzugliedern.24
Unabhängig von der konkreten Ausgestaltung der Compliance-Orga-nisation verbleibt die Letztverantwortung für Compliance als Leitungsauf-gabe bei der Geschäftsleitung („Compliance ist Chefsache!“25). Die
Geschäftsleiter müssen daher alle grundlegenden Compliance-Ent-scheidungen selbst treffen und sich regelmäßig von deren Wirksamkeit überzeugen. Die operative Umsetzung darf jedoch delegiert werden.26
Di-ese Delegation setzt allerdings eine eindeutige Verantwortungszuweisung und ein funktionierendes Berichtswesen voraus. Es muss klar geregelt sein, wem die Compliance-Verantwortung für einzelne Vorfälle zukommt 23 Moosmayer (wie Fn. 2), Rn. 108-111.
24 Leipold/Beukelmann, NJW-Spezial 2009, 24. Speziell zu Compliance für den Mittel-stand Fissenewert, NZG 2015, 1009-1013. Speziell zu Compliance für Startups Schief-fer, CCZ 2018, 93-95; Nothhelfer/Bacher, CCZ 2016, 64-69. Ausdrücklich auch Hauschka, CCZ 2018, 159, 160: „2,2 Mio. Einzelunternehmer und über 500.000
GmbHs in Deutschland haben von Compliance ganz überwiegend noch nie etwas ge-hört. Für einen großen Teil dieser Unternehmen wird es ausreichen, wenn die Lei-tungsorgane eine klare Linie vorgeben, mögliche Compliance-Themen adressieren und dazu eine eindeutige Position beziehen.“
25 Fleischer, CCZ 2008, 1, 3.
26 Koch (wie Fn. 17), § 76 Rn. 12; Fleischer, NZG 2014, 321, 323 f.; Hoffmann/ Schieffer, NZG 2017, 401, 405 f.
und an wen diese zu berichten sind. Insbesondere muss ein direkter Be-richtweg zur Unternehmensleitung bestehen.27
cc. Code of Conduct
Regelmäßig zu empfehlen ist Unternehmen die Abfassung eines „Code of Conduct“, auch genannt „Mission Statement“, „Verhaltenskodex“ oder „Compliance-Kodex“. Der Code of Conduct besteht aus einem Vorwort der Unternehmensleitung, in dem auf die Wichtigkeit der Einhaltung von Recht und Gesetz hingewiesen, die Verbindlichkeit der Compliance im Unternehmen verdeutlicht und auf entsprechende Sanktionen verwiesen wird. Im Anschluss hieran werden die in der Risikoanalyse ermittelten Themenfelder kurz und prägnant dargestellt. Hierzu gehören meist (wenn auch nicht abschließend) die Bereiche Antikorruption, Kartellrecht, Insi-derregelungen, Geldwäsche, Einhaltung des Datenschutzes, Schutz des Ei-gentums des Unternehmens, Arbeitsrecht und Umweltschutz. Der Code of Conduct sollte mit einer kurzen Information über die Compliance-Organi-sation und die entsprechenden Ansprechpartner abschließen.28
In als besonders kritisch identifizierten Bereichen ist eine Ergänzung durch Leitfäden und Compliance-Richtlinien sinnvoll. Die darin enthalte-nen, vertiefenden Ausführungen und konkreten Beispielsfälle sollten auf die Regelungen im Code of Conduct Bezug nehmen, regelmäßig angepasst und in einer jeweils aktuellen Version vorgehalten werden. Besonderes Augenmerk ist darauf zu legen, dass Richtlinien und Leitfäden in ihrer Ge-samtheit übersichtlich bleiben, sodass Mitarbeiter nicht das Gefühl bekom-men, in einer wachsenden Regelungsflut den Überblick zu verlieren.29
dd. Antikorruptions-Compliance
Ein wichtiger Teilbereich der Compliance betrifft die Vorsorge gegen Korruptionssachverhalte.30 Auch hier drohen bei Verstößen empfindliche
Bußgelder. Laut Bundeskriminalamt wurden in Deutschland im Jahr 2017 27 Moosmayer (wie Fn. 2), Rn. 113-123.
28 Vgl. zur Grundstruktur eines Code of Conduct Moosmayer (wie Fn. 2), Rn. 157-160. Speziell zum Bereich Kartellrecht Schröder, CCZ 2015, 63-69.
29 Moosmayer (wie Fn. 2), Rn. 162.
30 §§ 331-336 StGB gelten für Amtsträger und für den öffentlichen Dienst besonders Verpflichtete, §§ 299-299b StGB für Bestechlichkeit und Bestechung im geschäftli-chen Verkehr und im Gesundheitswesen, vgl. Walter, JURA 2010, 511-520 und Kuh-len, JuS 2011, 673-680.
insgesamt 4.894 Korruptionsstraftaten polizeilich registriert.31 Dabei
kön-nen Bestechungszahlungen nach deutschem Recht auch dann strafrecht-lich relevant werden, wenn sie einen Auslandsbezug aufweisen.32
Um Korruptionsdelikten entgegenzuwirken, wurden für Unternehmen spezielle Compliance-Maßnahmen entwickelt.33 Hierbei kommen
insbe-sondere Schulungen der Mitarbeiter zum Zuge. Diese werden entweder in Form einer Präsenzschulung oder im Wege des E-Learning durchgeführt. Schulungen sollen das Compliance-Bewusstsein der Arbeitnehmer schär-fen und vorhandene Zweifelsfragen klären. Insbesondere wird den Mitar-beitern ermöglicht, konkrete Rückfragen zu stellen und dadurch Konflikt-situationen zu klären, mit denen sie sich in ihrem Tagesgeschäft konfron-tiert sehen.34
Ferner besteht die Möglichkeit, Antikorruptions-Klauseln in Verträge mit Geschäftspartnern aufzunehmen. In solchen Klauseln verpflichten sich die Geschäftspartner, bei der Ausführung der vertraglich geschuldeten Leistung sämtliche Rechtsvorschriften zur Bekämpfung der Korruption einzuhalten. Mit einer solchen Klausel können auch Einsichts- und Kün-digungsrechte sowie (pauschalierte) Schadensersatzverpflichtungen ein-hergehen. Da es sich hierbei regelmäßig um allgemeine Geschäftsbedin-gungen handelt, können Unwirksamkeitsrisiken auftreten, die bei der Abfassung zu bedenken sind.35
31 BKA, Korruption Bundeslagebild 2017, S. 3, abrufbar unter https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLa-
gebilder/Korruption/korruptionBundeslagebild2017.html;jsessio-nid=5118CB8847C7C90C6EC2CB77D7B2CC6C.live2301?nn=28078 (Abruf am 28.11.2019).
32 Für ausländische und internationale Bedienstete gilt § 335a StGB. §§ 299-299b StGB nehmen Bezug auf den „ausländischen Wettbewerb“. Siehe ferner das Gesetz zur Be-kämpfung internationaler Bestechung (IntBestG). Interessant ist in diesem Zusammen-hang der Korruptionswahrnehmungsindex (CPI) von Transparency International, der Länder und Gebiete nach dem Grad der im öffentlichen Sektor von Expertinnen und Experten sowie Führungskräften wahrgenommenen Korruption auflistet, für das Jahr 2018 abrufbar unter https://www.transparency.de/cpi/cpi-2018/cpi-ranking-2018/ (Ab-ruf am 28.11.2019).
33 Einen Überblick über die Maßnahmen zur Vermeidung von Korruptionsdelikten gibt Greeve, in: Hauschka/Moosmayer/Lösler (wie Fn. 1), § 25 Rn. 192.
34 Moosmayer (wie Fn. 2), Rn. 178-180.
35 Allgemein zu Compliance-Klauseln Gilch/Pelz, CCZ 2008, 131-136; Hölters, in: Hölters, AktG, 3. Aufl. 2017, § 93 Rn. 110.
Ferner kann eine „Third Party Due Diligence“ (auch genannt „Geschäftspartner-Compliance“) durchgeführt werden. Hierzu werden Informationen über den Vertragspartner abgefragt, um sicherzustellen, dass dieser in korruptionsrechtlicher Hinsicht unbedenklich ist. Relevante Informationen können hierbei z.B. Angaben zu Geschäftsführern und Ge-sellschaftern sein, aber auch Beteiligungsverhältnisse sowie Verbindun-gen zu Parteien, Behörden und Ministerien. Entsprechende Informationen können im Wege einer freiwilligen Selbstauskunft, über Kreditauskunf-teien und Wirtschaftsdienste oder über einen persönlichen Besuch im Un-ternehmen gewonnen werden.36
Besondere Bedeutung kommen auch den sog. „Geschenke-Richtli-nien“ zu. Diese enthalten Hinweise, wie Mitarbeiter mit Geschenken und Einladungen umzugehen haben. Hierbei wird üblicherweise nach der Höhe des Geschenks bzw. der Einladung sowie danach differenziert, ob das Geschenk gegenüber einem Amtsträger oder einem Geschäftspartner ge-macht wird bzw. von einem Geschäftspartner stammt.37
Relevant sind auch Berater- und Vermittlerverträge, da diese in der Vergangenheit ein beliebtes Mittel waren, um Bestechungszahlungen zu verschleiern. Um dieser Vorgehensweise entgegenzusteuern, können fol-gende Maßnahmen ergriffen werden: Zunächst ist die Provisionshöhe ei-ner kritischen Prüfung daraufhin zu unterziehen, ob Leistung und Gegen-leistung in einem angemessenen Verhältnis stehen. Sodann sollte die
Zah-lungsabwicklung stets über Konten und niemals in bar erfolgen. Schließlich sollte die Leistung, die der Berater erbringt, nachprüfbar
do-kumentiert werden.38
36 Passarge, in: Martinek/Semler/Flohr, Handbuch des Vertriebsrechts, 4. Aufl. 2016, § 79 Rn. 190; Troßbach, CCZ 2017, 216-224; Moosmayer (wie Fn. 2), Rn. 243-253. 37 Zu Praxisfragen bei Zuwendungen an Dritte Moosmayer (wie Fn. 2), Rn. 226-242.
Insbesondere zu der Frage, welche Geschenke einem Amtsträger, Beamten oder sonst im öffentlichen Dienst Beschäftigten gemacht werden dürfen Reiff, CCZ 2018, 194-203; Bömer, GWR 2011, 28-31.
38 Siehe hierzu z.B. den Leitfaden Korruptionsprävention (Stand: September 2011) des Verbandes Deutscher Maschinen- und Anlagenbau e. V. (VDMA) unter „1.7.2.6. Berater- und Vermittlerverträge“, abrufbar unter
http://www.vdma.org/documents/105628/0/Stb_Leitfaden+Korruptionspr%C3%A4v ention+2011.pdf/95ae6e4f-8476-444e-91b1-baec76cf51ec (Abruf am 28.11.2019).
ee. Kartellrechts-Compliance
Auch der Bereich Kartellrecht spielt im Wirtschaftsleben eine immer wichtigere Rolle. Die Einhaltung kartellrechtlicher Regelungen wird von der Europäischen Kommission und den nationalen Wettbewerbsbe-hörden durchgesetzt. Bemerkenswert bei dieser Durchsetzung ist, dass ge-genüber Kartellteilnehmern, die durch ihre Kooperation dazu beitragen, ein Kartell aufzudecken, die Geldbuße erlassen oder reduzieren werden kann (sog. „Kronzeugen- oder Bonusregelung“). Diese Regelung hat sich als äußerst erfolgreich im Kampf gegen Kartelle erwiesen. So wird nach Angaben des deutschen Bundeskartellamts gut die Hälfte aller Kartellver-fahren durch Hinweise eines Kronzeugen und damit einen Kartellteilneh-mer selbst ausgelöst.39
Im Rahmen der kartellrechtlichen Compliance-Bemühungen spielen insbesondere das Kartellverbot des Art. 101 AEUV und des § 1 GWB eine Rolle. Danach sind Vereinbarungen und abgestimmte Verhaltensweisen verboten, die eine Wettbewerbsbeschränkung bezwecken oder bewirken.40
In dieser Hinsicht kommen zunächst Verstöße zwischen Wettbewerbern, d.h. auf horizontaler Ebene in Betracht. Kartellrechtswidrig sind hier ins-besondere sog. „Hardcore-Kartelle“, mit deren Hilfe Preisabsprachen, Kundenaufteilungen und ähnlich gravierende Wettbewerbsbeschränkun-gen erfolWettbewerbsbeschränkun-gen. Allerdings kann auch der reine Informationsaustausch ohne gleichzeitige Preisabsprache als kartellrechtswidrig einzustufen sein.41
Vor diesem Hintergrund sind nicht nur Branchenstatistiken und
Bench-markings unternehmensseitig einer kritischen Würdigung zu unter- ziehen,42 sondern auch Verbandstreffen und Messebesuche. Gerade
letz-tere sind in jüngerer Zeit in den Fokus geraten, da hier verstärkt 39 Siehe dazu die Informationen des Bundeskartellamts zur Bonusregelung unter
https://www.bundeskartellamt.de/DE/Kartellverbot/Bonusregelung/bonusregelung_n ode.html (Abruf am 28.11.2019).
40 Kartellrechtsrelevant können auch der Missbrauch einer marktbeherrschenden Stellung (Art. 102 AEUV, §§ 18 ff. GWB) sowie die Fusionskontrolle (EU-Fusionskontrollverordnung, §§ 35 ff. GWB) sein.
41 Vgl. den Überblick bei Schröder, CCZ 2015, 63, 64 f.
42 Kapp/Hummel, CCZ 2013, 240, 243 f.; Nordemann, in: Loewenheim/Meessen/Riesenkampff/Kersting/Meyer-Lindemann, Kartellrecht, 3. Aufl. 2016, Art. 101 Abs. 3 AEUV Rn. 71-77.
Wettbewerberkontakte und damit kartellrechtliche Risikopotentiale beste-hen.43
Kartellrechtsverstöße können außerdem zwischen Herstellern und Händlern und damit auf vertikaler Ebene vorkommen. Zu denken ist hier insbesondere an die kartellrechtlich problematische „Preisbindung der zweiten Hand“, durch die ein Hersteller seinen Abnehmern kartell-rechtswidrig den Verkaufspreis vorzugeben versucht. Aber z.B. auch die Ausgestaltung von Rabattsystemen bedarf einer kritischen kartellrechtli-chen Beurteilung, da Rabatte von marktbeherrskartellrechtli-chenden Unternehmen dazu eingesetzt werden können, andere Wettbewerber zu verdrängen.
Auch im Bereich der Kartellrechts-Compliance bietet sich deshalb eine zusätzliche Aufklärung insbesondere derjenigen Mitarbeiter an, die über Wettbewerberkontakte verfügen. Bei diesen muss die Sensibilität für kar-tellrechtsrelevante Vorgänge geschärft werden, sodass sie in die Lage ver-setzt werden, problematische Konstellationen zu erkennen und Rat bei der Rechtsabteilung einzuholen. Hierzu sollten die entsprechenden Mitarbei-ter spezielle Schulungen durchlaufen und vertiefende Leitfäden zum Thema Kartellrecht erhalten. Gerade bei Verbandstreffen kann es sich zu-dem anbieten, die Tagesordnung vorab einer kartellrechtlichen Kontrolle durch die Rechtsabteilung zu unterziehen, um hierdurch potentiell kri-tische Themen bereits im Vorfeld anmahnen zu können.
b. Kontrollpflicht
Die Organisationspflicht ist nur der erste Schritt im Rahmen der präventiven Compliance. Die Geschäftsleitung genügt ihrer Pflicht jedoch nicht allein dadurch, dass sie einmalig eine Compliance-Organisation auf-setzt und dem Thema Compliance im Anschluss keinerlei Bedeutung mehr zumisst. Vielmehr müssen regelmäßige Kontrollen durchgeführt werden, um den Mitarbeitern zu zeigen, dass Compliance auch nachhaltig ernst ge-nommen wird. Diese Kontrollen erfolgen rein präventiv und damit ohne das Vorliegen eines konkreten Verdachts auf Compliance-Verstöße. Sie können beispielsweise mithilfe sog. „Compliance Audits“ durchgeführt werden, für die typischerweise die Revisionsabteilung zuständig ist. Ein 43 Speziell zur Kartellrechts-Compliance in der Verbandsarbeit Kapp/Hummel, CCZ
Audit untersucht stichprobenhaft, ob Prozesse, Anforderungen und Richt-linien die geforderten Compliance-Standards erfüllen.44 Um den Mitar-
beitern die eigeninitiative Meldung von Verdachtsfällen zu erleichtern, kann zudem eine sog. „Whistleblower-Hotline“ eingerichtet werden. Über eine solche Hotline können Mitarbeiter unter garantierter Wahrung ihrer Anonymität ihrer Ansicht nach Compliance-kritische Vorgänge melden und hierdurch weitere Untersuchungen durch das Unternehmen veranlas-sen.45
c. Fortentwicklungspflicht
Das Compliance-Programm ist zudem beständig fortzuentwickeln. Hierfür sind zunächst diejenigen Defizite auszubessern, die konkret im Rahmen der Kontrollpflicht aufgedeckt wurden. Zudem sollte eine re-gelmäßige Überprüfung dahingehend stattfinden, ob das Compliance-Programm an sich noch „state of the art“ ist. In dieser Hinsicht sollte an eine regelmäßige Schulung der Compliance-Mitarbeiter gedacht werden, damit diese über aktuelle Entwicklungen informiert bleiben und ihr Wis-sen zugunsten des Unternehmens einsetzen können.
V. Repressive Compliance
Im Gegensatz zur präventiven Compliance hat die repressive Compliance den bestrafenden Aspekt im Fokus. Ziel ist es, Hinweisen auf eingetretenes Fehlverhalten nachzugehen und Compliance-Verstöße ordnungsgemäß abzuwickeln. Auch hierbei hat sich eine Pflichtentrias herausgebildet, nach der Compliance-Verstöße „aufzuklären, abzustellen und angemessen zu sanktionieren“ sind.46
a. Aufklärungspflicht
Bei einem vermuteten Compliance-Verstoß ist zunächst der Sachver-44 Dieners/Lembeck, in: Dieners, Handbuch Compliance im Gesundheitswesen, 3. Aufl.
2010, D. Compliance im Gesundheitssektor Rn. 57; Grützner/Jakob, in: Grützner/ Jakob, Compliance von A-Z, 2. Aufl. 2015, „Compliance Audit“.
45 Zur Einrichtung einer Whistleblower-Hotline vgl. Mengel, in: Mengel, Compliance
und Arbeitsrecht, 1. Aufl. 2009, Kapitel 7 D. Rn. 37-46; Grützner/Jakob (wie Fn. 44),
„Hotline“.
46 Zu dieser Pflichtentrias z.B. Reichert/Ott, NZG 2014, 241, 242; Ott/Lüneborg, CCZ 2019, 71, 72.
halt zu ermitteln. Grundsätzlich besteht eine Rechtspflicht der Geschäfts-leitung zur Aufklärung des Sachverhalts (Frage des „ob“). Mit welchen Methoden und wie tief diese Aufklärung durchgeführt wird, steht hingegen regelmäßig im Ermessen der Geschäftsleitung (Frage des „wie“).47
Ergibt eine vorgelagerte Plausibilitätsprüfung,48 dass der Verdacht
va-lide ist, wird eine interne Untersuchung eingeleitet (auch „Internal Inves-tigation“ genannt). Diese wird regelmäßig durch die Geschäftsleitung in Auftrag gegeben.49 Interne Untersuchungen können von
unternehmensin-ternen Abteilungen wie der Revisions- oder der Compliance-Abteilung, aber auch von externen Spezialisten (insbesondere Rechtsanwälten, Wirtschaftsprüfern und forensischen Experten) durchgeführt werden.50
Dabei werden grundsätzlich verschiedene Arbeitsschritte durchlaufen: Zunächst erfolgt ein formeller Untersuchungsauftrag, dann wird ein Un-tersuchungsplan erstellt, der durch bestimmte Untersuchungshandlungen abgearbeitet und dokumentiert und schließlich in einem Ergebnis fest-gehalten wird.51
Bei einer internen Untersuchung kommen verschiedene Untersu-chungsmethoden in Betracht. In der Regel wird ein sog. „E-Mail-Scree-ning“ durchgeführt. Hierbei werden die E-Mails von Mitarbeitern und Geschäftsleitern, die im Verdacht stehen, an den Compliance-relevanten Vorgängen beteiligt gewesen zu sein, nach bestimmten Schlagwörtern durchsucht und anschließend ausgewertet. Auch sonstige Unterlagen wie Finanz- und Buchhaltungsunterlagen, Vorstands- und Aufsichtsratsproto-kolle samt Anlagen, Dokumentationen der Compliance-Abteilung und Re-visionsberichte können in die Untersuchung mit einbezogen werden.
Eine wertvolle Informationsquelle stellen auch die Mitarbeiter selbst dar. Mit diesen werden (teils mehrfach) Interviews geführt, in denen sie 47 Ott/Lüneborg, CCZ 2019, 71, 72, die sich auch mit den opportunistischen Gründen einer Aufklärung beschäftigen, S. 72 f.; Reichert/Ott, NZG 2014, 241, 242 f. jeweils m.w.N.
48 Zur vorgelagerten Plausibilitätsprüfung Ott/Lüneborg, CCZ 2019, 71, 73.
49 Ausführlich Wessing, in: Hauschka/Moosmayer/Lösler (wie Fn. 1), § 46 betreffend interne Ermittlungen im Unternehmen.
50 Grützner/Jakob (wie Fn. 44), „Internal Investigation“.
über die konkreten Tatvorgänge befragt werden.52 Dabei besteht für die
Mitarbeiter meist ein Interessenkonflikt: Einerseits wollen sie sich oder andere nicht belasten, andererseits werden sie aufgefordert, das Unterneh-men bei der Aufklärung der Compliance-Verstöße zu unterstützen. Zur Entschärfung dieses Interessenkonflikts kann seitens des Unternehmens ein sog. „Amnestieprogramm“ angeboten werden. Darin verzichtet das Unternehmen auf Sanktionsmaßnamen wie z.B. Kündigung oder Geltend-machung von Schadensersatzansprüchen, wenn Mitarbeiter vollumfäng-lich aussagen und hierdurch zur Sachverhaltsaufklärung beitragen.53 Die
Formulierung eines solchen Amnestieprogramms ist durchaus an-spruchsvoll, da einerseits die Aussagebereitschaft der Mitarbeiter geför-dert werden soll, andererseits aber die zulasten des Unternehmens gewährten Freistellungen nicht unangemessen weit ausgedehnt werden dürfen.
b. Abstellungspflicht
Werden durch die Sachverhaltsermittlung Compliance-Verstöße auf-gedeckt, sind diese umgehend abzustellen.54 Dies kann beispielsweise
da-durch geschehen, dass bestimmte, als kritisch identifizierte Zahlungen ge-stoppt, entsprechende Handlungen verboten oder Vertragsbeziehungen be-endet werden. Zugleich sollten entsprechende Kontrollmaßnahmen und gegebenenfalls auch neue Regelwerke eingeführt werden.
c. Sanktionierungspflicht
Schließlich sind entdeckte Compliance-Verstöße angemessen zu sank-tionieren. Findet keine oder eine unangemessen geringe Sanktionierung statt, kann dies den unerwünschten Eindruck erwecken, als nehme die Geschäftsleitung die Compliance-Verstöße nicht ernst. Oftmals wird des-halb im Zusammenhang mit der Sanktionierungspflicht das Schlagwort der „zero tolerance“ verwendet.55 Dieses Schlagwort ist jedoch insofern
52 Zu Befragungen im Rahmen von internen Untersuchungen Krug/Skoupil, NJW 2017, 2374-2379. Speziell zu Befragungstaktik und Aussagepsychologie Janssen, CCZ 2016, 270-274. Aus arbeitsrechtlicher Sicht Herrmann/Zeidler, NZA 2017, 1499-1505. 53 Eßwein, CCZ 2018, 73-78; Kahlenberg/Schwinn, CCZ 2012, 81-86; Annuß/Pelz, BB
Special 4 zu BB 2010, 14-21; Göpfert/Merten/Siegrist, NJW 2008, 1703-1709.
54 Reichert, ZIS 2011, 113, 118 f.
55 Grützner/Jakob (wie Fn. 44), „Zero Tolerance Policy“; kritisch Kark, CCZ 2012, 180-185.
missverständlich, als man erneut unterscheiden muss: Während das „ob“ der Sanktionierung grundsätzlich verpflichtend ist, besteht hinsichtlich des „wie“ der Sanktionierung in der Regel ein Ermessensspielraum. In dessen Rahmen muss insbesondere der Grundsatz der Verhältnismäßigkeit Berücksichtigung finden. Mit anderen Worten: Es muss nicht immer zu dem denkbar drastischsten Mittel gegriffen werden, um der Sanktio-nierungspflicht Genüge zu tun.56
aa. Maßnahmen betreffend die Geschäftsleitung
Hinsichtlich der Geschäftsleitung kommen als Sanktionierungs-maßnahmen vor allem die Abberufung aus der Organstellung, die Kürzung variabler Gehaltsbestandteile und die Geltendmachung von Schadenser-satzansprüchen in Betracht. Für letztere sind insbesondere die Organhaf-tungsansprüche aus § 93 Abs. 2 AktG gegen Vorstandsmitglieder und aus § 43 Abs. 2 GmbHG gegen Geschäftsführer von Relevanz. Beide müssen vor den Zivilgerichten geltend gemacht werden. Drei Anknüpfungspunkte kommen für Pflichtverletzungen in Betracht: Zunächst ist eine persönliche Beteiligung der Geschäftsleiter denkbar, falls sich diese selbst aktiv an Ge-setzesverstößen beteiligt oder ihre Mitarbeiter ausdrücklich hierzu an-gewiesen haben. Ferner ist ein Verstoß gegen Überwachungspflichten möglich. Dieser ist immer dann in Betracht zu ziehen, wenn auf Mitarbei-terebene Compliance-Verstöße begangen wurden, gegen welche die Geschäftsleiter nicht eingeschritten sind, obwohl ihnen Anhaltspunkte für entsprechende Verstöße bekannt waren oder hätten bekannt sein müssen. Schließlich ist auch ein Verstoß gegen Organisationspflichten denkbar, der insbesondere dann bejaht werden kann, wenn die Compliance-Organisa-tion im Unternehmen unzureichend ausgebildet war.57
Bei der Prüfung dieser denkbaren Pflichtverletzungen stellt sich zunächst das tatsächliche Problem, die konkrete Beteiligung bzw. das Or-ganisationsverschulden der Geschäftsleiter darzulegen und ggf. zu bewei-sen. Zu diesem Zweck werden von den Unternehmen meist Haftungs- gutachten in Auftrag gegeben, die mit einer umfangreichen Sachver- haltsaufklärung einhergehen und auch länger zurückliegende Zeiträume umfassen können. Die Schwierigkeit besteht in diesen Fällen zunächst da-rin, aus einer Masse an zur Verfügung gestellten Dokumenten den haf-tungsrelevanten Sachverhalt zu ermitteln. Bei der darauf aufsetzenden 56 Reichert, ZIS 2011, 113, 119 f.
rechtlichen Prüfung können sich beispielsweise im Zusammenhang mit der Kausalität, der verjährungsrechtlichen Prüfung der denkbaren Ansprüche und der gesamtschuldnerischen Haftung der Geschäftsleiter schwierige Rechtsfragen stellen.
Die Bedeutung der Geschäftsleiterhaftung hat in jüngerer Zeit deutlich zugenommen. Dies dürfte nicht zuletzt an der vielbeachteten Entscheidung des BGH in der Sache „ARAG/Garmenbeck“ liegen. Darin hat der BGH die Aufsichtsratsmitglieder einer AG – denen die Aufgabe zukommt, die Tätigkeit des Vorstands zu überwachen und zu kontrollieren – dazu verpflichtet, das mögliche Bestehen von Schadensersatzansprüchen der Gesellschaft gegenüber ihren Vorstandsmitgliedern eigenverantwortlich zu prüfen. Komme der Aufsichtsrat zu dem Ergebnis, dass sich der Vor-stand schadensersatzpflichtig gemacht habe, müsse der Aufsichtsrat auf-grund einer sorgfältigen und sachgerecht durchzuführenden Risikoanalyse abschätzen, ob und in welchem Umfang die gerichtliche Geltendmachung zu einem Ausgleich des entstandenen Schadens führe. Stünden der AG nach dem Ergebnis dieser Prüfung durchsetzbare Schadenser-satzansprüche zu, habe der Aufsichtsrat diese Ansprüche grundsätzlich zu verfolgen. Davon dürfe er nur dann ausnahmsweise absehen, wenn gewichtige Gründe des Gesellschaftswohls dagegen sprechen und diese Umstände die Gründe, die für eine Rechtsverfolgung sprechen, überwie-gen oder ihnen zumindest gleichwertig seien. Anderen außerhalb des Un-ternehmenswohls liegenden, die Vorstandsmitglieder persönlich betref-fenden Gesichtspunkten dürfe der Aufsichtsrat nur in Ausnahmefällen Raum geben.58
In der Praxis hat das „ARAG/Garmenbeck“-Urteil die Prüfung der Schadensersatzpflichtigkeit von Vorstandsmitgliedern deutlich ansteigen lassen. Hintergrund hierfür ist, dass ein Unterlassen dieser Prüfung Kon-sequenzen auch für die Aufsichtsratsmitglieder haben kann: Kommen sie 58 BGH, Urt. v. 21.4.1997 – II ZR 175/95, NJW 1997, 1926, Leitsätze 2-4 (ARAG/Garmenbeck). Dazu u.a. Goette, ZHR 176, 2012, 588-616; Lutter, in:
Festschrift Michael Hoffmann-Becking, 2013, 747-754; Habersack, NZG 2016,
ihrer Prüfungspflicht nicht nach, machen sie sich ggf. selbst schadenser-satzpflichtig, §§ 116 Satz 1, 93 Abs. 2 Satz 1 AktG.59 Um dieser
Eigen-haftung zu entgehen, gibt der Aufsichtsrat in der Regel ein Haftungs- gutachten in Auftrag. Derlei Haftungsgutachten werden von Rechtsanwaltskanzleien angefertigt, die in meist vielköpfigen Anwalts-teams die tatsächliche und rechtliche Aufarbeitung übernehmen. Auf Grundlage dieses Gutachtens entscheidet der Aufsichtsrat dann entsprec-hend den Vorgaben der „ARAG/Garmenbeck“-Entscheidung darüber, ob etwaige Schadensersatzansprüche gegenüber Vorstandsmitgliedern gel-tend gemacht werden oder nicht.
Für großes Aufsehen sorgte im Zusammenhang mit dem Thema Or-ganhaftung auch das bereits erwähnte und in der Literatur als „Meilen-stein“60 bezeichnete Urteil des Landgerichts München I in der Sache
„Si-emens/Neubürger“ aus dem Jahr 2013.61 Darin wurde der frühere
Fi-nanzvorstand der Siemens AG zu einer Zahlung von 15 Mio. Euro verur-teilt. Das Urteil ist deswegen von besonderer Bedeutung, da es im Bereich der Organhaftung kaum richterliche Entscheidungen gibt. Bedauer- licherweise konnte eine höchstrichterliche Klärung der durch das Land-gericht aufgeworfenen Rechtsfragen nicht herbeigeführt werden, da sich die Parteien im Anschluss an das Urteil auf eine Zahlung von 2,5 Millionen Euro einigten und die eingelegte Berufung hierdurch hinfällig wurde.62
Trotz dieses Vergleichs endete der Fall in tatsächlicher Hinsicht tragisch. 59 Zu verjährungsrechtlichen Fragen betreffend Ansprüche gegen Aufsichtsratsmitglieder BGH, Urt. v. 18.9.2018 – II ZR 152/17, NJW 2019, 596-600 mit Anm. von Bayer/ Scholz, NZG 2019, 201-2010.
60 Hauschka, CCZ 2018, 159, 162.
61 LG München I, Urt. v. 10.12.2013 – 5 HK O 1387/10, BeckRS 2014, 1998 (Sie-mens/Neubürger). Besprechungen u.a. von Fleischer, NZG 2014, 321-329; Hauschka,
CCZ 2018, 159-162; Grützner, BB 2014, 850-852; Bachmann, ZIP 2014, 579-583;
Si-mon/Merkelbach, AG 2014, 318-321; Oppenheim, DStR 2014, 1063-1065.
62 Manager Magazin online v. 14.12.2014, Siemens beendet Korruptionsaffäre, abrufbar unter https://www.manager-magazin.de/unternehmen/industrie/vergleich-mit-ex-vor-stand-neubuerger-siemens-beendet-korruptionsaffaere-a-1008402.html; Handelsblatt
online v. 12.12.2014, Ex-Vorstand Neubürger soll 2,5 Millionen Euro zahlen, abrufbar
unter https://www.handelsblatt.com/unternehmen/management/siemens-prozess-ex- vorstand-neubuerger-soll-2-5-millionen-euro-zahlen/11114768.html?ticket=ST-16113499-Q4bCYDshPcxdmKOTe4j4-ap5 (beide Abruf am 28.11.2019).
Der ehemalige Finanzvorstand von Siemens beging Anfang des Jahres 2015 Suizid.63
bb. Maßnahmen betreffend Arbeitnehmer
Auch hinsichtlich der an den Compliance-Vorfällen beteiligten Ar-beitnehmer stehen dem Unternehmen verschiedene Möglichkeiten der Sanktionierung zur Verfügung. In schwerwiegenden Fällen können Mitar-beiter als ultima ratio gekündigt werden. Entscheidet sich das Unterneh-men demgegenüber dafür, trotz der Compliance-Vorfälle an einem Mitar-beiter festzuhalten, kommen eine Ermahnung oder eine Abmahnung in Betracht. Auch die Versetzung auf eine andere, weniger Compliance-gefährdete Stelle oder ein zusätzliches Compliance-Training sind in Erwägung zu ziehen. Zu denken ist ferner an das Aussetzen der Beförde-rung oder, falls vorhanden, die Kürzung variabler Entgeltbestandteile.64
Schließlich kommt auch die Geltendmachung von Schadenser-satzansprüchen gegenüber Arbeitnehmern in Betracht. Diese ist jedoch un-ter anderem wegen der tendenziell arbeitnehmerfreundlichen Haltung der Arbeitsgerichte, der Grundsätze des innerbetrieblichen Schadensausgle-ichs65 sowie der für den Arbeitgeber nachteiligen Beweislastverteilung des
63 Bund, Zeit online v. 3.6.2015, Tod eines Managers, abrufbar unter https://www.zeit.de/2015/23/siemens-heinz-joachim-neubuerger-selbstmord; Maier/ Clausen, Spiegel online v. 6.2.2015, Heinz-Joachim Neubürger ist tot, abrufbar unter https://www.spiegel.de/wirtschaft/unternehmen/heinz-joachim-neubuerger-ist-tot-a-1017054.html (beide Abruf am 28.11.2019).
64 Zu den rechtlichen Aspekten Compliance-indizierter Sanktionsmaßnahmen im Ar-beitsverhältnis Eufinger, RdA 2017, 223-230.
65 Die Arbeitnehmerhaftung wird durch die Rechtsprechung bei betrieblich veranlassten Tätigkeiten beschränkt. In Abhängigkeit vom Verschuldensgrad des Arbeitnehmers erfolgt eine Modifizierung des Grundsatzes der Totalreparation. Für vorsätzlich verursachte Schäden haftet der Arbeitnehmer in vollem Umfang. Dasselbe gilt grundsätzlich bei grober Fahrlässigkeit, wobei eine Haftungserleichterung nach einer Abwägung im Einzelfall erfolgen kann. Bei mittlerer Fahrlässigkeit wird der Schaden grundsätzlich zwischen Arbeitgeber und Arbeitnehmer quotal verteilt, bei leichtester Fahrlässigkeit haftet der Arbeitnehmer hingegen nicht. Vgl. hierzu Baumgärtner, in: Bamberger/Roth/Hau/Poseck, BeckOK BGB, 52. Edition, Stand: 1.11.2019, § 611a Rn. 74-77.
§ 619a BGB66 für das Unternehmen mit besonderen Schwierigkeiten
ver-bunden.67
AUSBLICK
Der Bereich Compliance ist bereits heute von herausragender Bedeu-tung für deutsche Unternehmen. Diese BedeuBedeu-tung wird sich vermutlich auch auf andere Bereiche ausdehnen. So sind beispielsweise erste Ansätze im Bereich der öffentlichen Verwaltung erkennbar, die in der Privatwirt-schaft gewonnenen Erkenntnisse auch im hoheitlichen Bereich fruchtbar zu machen.68 Besondere Schwierigkeiten ergeben sich daraus, dass der
Be-reich Compliance mehr als andere Rechtsgebiete dem Einfluss der Zeit unterliegt und sich beständig an geänderte Rahmenbedingungen anpassen muss. So werden die Compliance-Themen der Zukunft vermutlich insbe-sondere im Bereich des Datenschutzrechts liegen, dessen Bedeutung durch die neue EU-Datenschutz-Grundverordnung (DSGVO) und die damit ein-hergehenden Sanktionsmöglichkeiten angestiegen ist. Wichtig dürfte auch der Bereich der Digitalisierung werden, wobei vor allem die Themen Big Data sowie die Digitalisierung und Automatisierung von Compliance-Pro-zessen und Compliance-Maßnahmen eine Rolle spielen dürften.69
66 Nach § 619a BGB muss der Arbeitgeber abweichend von § 280 I BGB das Vertretenmüssen des Arbeitnehmers beweisen.
67 Zur Arbeitnehmerhaftung bei Compliance-Verstößen Eufinger, CCZ 2017, 130-137; Kreßel, NZG 2018, 841, 845-848.
68 Zur Korruptionsprävention in kommunalen Verwaltungen Caspar/Neubauer, LKV 2011, 200-208. Zu Compliance bei Unternehmen der öffentlichen Hand Passarge,
NVwZ 2015, 252-257. Zu Compliance im Staat Burgi, CCZ 2010, 41-45. Zu
Compli-ance in öffentlichen Vergabeverfahren Schulz/Englert, CCZ 2014, 126-131. Zu einem Leitfaden für Behörden und öffentliche Unternehmen Terwiesche,
Kommunalwirt-schaft 2015, 6-11. Das Urteil des BGH v. 10.7.2018 – II ZR 24/17, NJW 2018,
3574-3580 (Schloss Eller) betraf den Vorstand einer Aktiengesellschaft, deren Alleinaktio-närin eine Stadt war. Vgl. etwa auch die Regelungen zur Integrität, die durch das Bun-desministerium des Innern herausgegeben werden, abrufbar unter https://www.bmi.bund.de/DE/themen/moderne-verwaltung/integritaet-der-verwal-tung/korruptionspraevention/korruptionspraevention-node.html oder die Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung, abrufbar unter
http://www.verwaltungsvorschriften-im-inter-net.de/bsvwvbund_30072004_O4634140151.htm (beide Abruf am 28.11.2019). 69 Vgl. hierzu beispielsweise die gemeinsame Studie von Deloitte, Compliance Manager
und Quadriga Hochschule Berlin, The Future of Compliance 2018, S. 40-43, abrufbar unter https://www.compliance-manager.net/sites/default/files/dateien/the_fu-ture_of_compliance_2018.pdf (Abruf am 28.11.2019).
ZUSAMMENFASSUNG
Der Begriff „Compliance“ beschreibt nicht nur die Pflicht des Unternehmens, der Geschäftsleitung und der Mitarbeiter, sich an das geltende Recht zu halten, sondern um-fasst darüber hinaus auch alle (konzernweiten) Organisationsmaßnahmen, die erforder-lich sind, um ein entsprechend rechtmäßiges Verhalten sicherzustellen.
In rechtstatsächlicher Hinsicht ist es vor allem das enorme Schadenspotential von Compliance-Verstößen, die diesem Bereich eine so große Bedeutung in der Unterneh-menspraxis zukommen lässt. So drohen nicht nur extrem hohe Bußgelder, sondern auch Schadensersatzansprüche geschädigter Dritter, Vergabesperren, Reputationsverluste sowie Kosten für Sachverhaltsaufklärung und rechtliche Aufarbeitung.
Deshalb ist es nicht verwunderlich, dass gerade in der als besonders sensibel einge-stuften Finanz- und Versicherungsbranche (sog. „regulierter Bereich“) die Einrichtung von Compliance-Systemen anhand von Rechtsregeln vorgegeben wird. Außerhalb des re-gulierten Bereichs ist die Verortung der Compliance-Organisationspflicht zwar nach wie vor umstritten, der Pflichtenrahmen als solcher aber mittlerweile anerkannt.
Insofern wird Compliance üblicherweise in zwei große Teilbereiche aufgegliedert: Den präventiven Bereich und den repressiven Bereich. Die präventive Compliance hat die Vorbeugung zum Ziel und will das Eintreten von Compliance-Verstößen möglichst verhindern. Dieser Bereich wird allgemein mit der Pflichtentrias „organisieren, kontrol-lieren und fortentwickeln“ umschrieben. Im Rahmen ihrer präventiven Compliance-Pflichten muss die Geschäftsleitung deshalb zunächst geeignete Maßnahmen treffen, um ein Fehlverhalten der Mitarbeiter möglichst zu verhindern. Diese Compliance-Organi-sationspflicht besteht jedoch nicht für alle Unternehmen in gleichem Umfang. Sie ist vielmehr abhängig von der konkreten Risikoexposition des Unternehmens, die wiederum maßgeblich von Größe, Geschäftstätigkeit und Branchenzugehörigkeit oder bereits ein-getretenen Verdachtsfällen beeinflusst wird. Die Unternehmensleitung genügt ihrer Pflicht jedoch nicht allein dadurch, dass sie einmalig eine Compliance-Organisation auf-setzt und dem Thema im Anschluss keinerlei Bedeutung mehr zumisst. Vielmehr müssen regelmäßige Kontrollen durchgeführt werden, um den Mitarbeitern zu zeigen, dass Compliance nachhaltig ernst genommen wird. Zudem ist das Compliance-Programm beständig fortzuentwickeln.
Die repressive Compliance umfasst hingegen den bestrafenden Aspekt der Compli-ance und hat das Ziel, Hinweisen auf Fehlverhalten nachzugehen und bereits eingetre-tene Compliance-Verstöße ordnungsgemäß abzuwickeln. Auch hier hat sich eine Pflich-tentrias herausgebildet, die durch die Schlagworte „aufklären, abstellen und angemessen sanktionieren“ charakterisiert wird. Im Rahmen ihrer repressiven Compliance-Pflichten hat die Geschäftsleitung deshalb zunächst zu klären, ob tatsächlich ein Fall von Non-Compliance vorliegt. Die Aufklärung des Sachverhalts ist notwendige Voraussetzung da-für, dass noch andauernde Rechtsverstöße abgestellt und zukünftige Wiederholungen ver-hindert werden. Deshalb besteht grundsätzlich eine Rechtspflicht zur Aufklärung (Frage des „ob“). Mit welchen Methoden und wie tief diese Aufklärung durchgeführt wird, steht hingegen regelmäßig im Ermessen der Geschäftsleitung (Frage des „wie“). Im Anschluss
an die Aufarbeitung sind die Compliance-Verstöße abzustellen und die daran Beteiligten durch das Unternehmen angemessen zu sanktionieren.
Auch in Zukunft wird der Bereich Compliance von herausragender Bedeutung für deutsche Unternehmen bleiben und sich auf andere Bereiche wie beispielsweise die öf-fentliche Verwaltung ausdehnen. Weitere Themenfelder der Zukunft dürften im Bereich des Datenschutzrechts und der Digitalisierung liegen.
ÖZET
"Uyumluluk" terimi yalnızca şirketin, yönetimin ve çalışanların yürürlükteki düzen-lemelere uyma yükümlülüğünü açıklamakla kalmaz, aynı zamanda düzendüzen-lemelere uygun davranışı sağlamak için gerekli olan tüm (grup çapında) örgütsel önlemleri de kapsar.
Hukuki açıdan bu alanı kurumsal uygulamada bu kadar önemli kılan, uyumluluk ih-lallerinin yüksek zarara sebep olma potansiyelidir. Bu yüzden sadece son derece yüksek para cezası tehdidi değil, aynı zamanda zarar gören üçüncü kişilerin tazminat talepleri, ihale yasakları, itibar kayıpları gibi olaya ilişkin hususların açıklanmasını ve hukuki de-ğerlendirmeleri kapsayan maliyetler de söz konusudur.
Bu nedenle, özellikle hassas olarak sınıflandırılan finans ve sigorta sektörlerinde ("regüle alan" olarak adlandırılmakta), uyumluluk sistemlerinin kurulmasının yasal ku-rallar temelinde tanımlanması şaşırtıcı değildir. Regüle alanın dışında, uyumluluk orga-nizasyon yükümlülüğünün yeri hala tartışmalı olmakla birlikte şu anda bu gibi yükümlü-lüklerin kapsamı belirlenmiştir.
Bu bakımdan, uyumluluk genellikle iki geniş alana ayrılmaktadır: Önleyici alan ve baskılayıcı alan. Önleyici uyumluluk, önlem almayı ve uyumluluk ihlallerini mümkün ol-duğu surette engellemeyi amaçlamaktadır. Burada da “organize etmek, kontrol etmek ve geliştirmek” olarak tanımlanan yükümlülük üçlüsü kurulmuştur. Bu nedenle, önleyici uyumluluk yükümlülüklerinin bir parçası olarak, yönetimin, ilk önce çalışanların suiisti-malini mümkün olduğunca önlemek için uygun tedbirleri alması gerekmektedir. Ancak, uyumluluk organizasyonu yükümlülüğü tüm şirketler için aynı ölçüde geçerli değildir. Daha ziyade, şirketin büyüklüğüne, ticari faaliyetlerine ve sektöre bağlı ilişkilerinden veya daha önce meydana geldiğinden şüphelenilen vakıalardan önemli ölçüde etkilenen şirketin somut risk tehdidine bağlıdır. Ancak, şirket yönetimi, yükümlülüklerini sadece bir kez uyumluluk organizasyonu kurarak ve daha sonra bu hususa önem vermeyerek yerine getiremez. Aksine, çalışanlara uzun vadede uyumun ciddiye alındığını göstermek için dü-zenli kontroller yapılmalıdır. Ek olarak, uyum programı sürekli olarak daha da gelişti-rilmelidir.
Diğer yandan, baskıcı uyumluluk, uyumun cezalandırıcı yönünü kapsar ve suiistimal davranışlarının araştırılması ve halihazırda meydana gelen uyumluluk ihlalleri gerektiği gibi ele almak amacındadır. Burada da, “açıklığa kavuşturmak, düzeltmek ve uygun şe-kilde yaptırım” gibi ifadelerle karakterize edilen bir üçlü yükümlülük geliştirilmiştir. Bu nedenle, baskıcı uyumluluk yükümlülüklerinin bir parçası olarak, yönetimin öncelikle uyumsuzluk vakasının gerçekten var olup olmadığını açıklığa kavuşturması gerekmekte-dir. Gerçeklerin açıklığa kavuşturulması, devam eden yasal ihlalleri sona erdirmek ve
bunların gelecekte tekrar etmesini önlemek için gerekli bir önkoşuldur. Bu nedenle, ko-nuyu açıklığa kavuşturmak için temel bir yasal yükümlülük vardır ("olup olmadığı" so-rusu). Bununla birlikte, açıklığa kavuşturma yükümlülüğünün hangi yöntemlerle ve ne kadar derinleştirildiğiyse, düzenli olarak yönetimin takdirindedir ("nasıl" sorusu). Bu ça-lışmayı takiben uyum ihlalleri düzeltilmeli ve ihlale dahil olan taraflar şirket tarafından uygun şekilde cezalandırılmalıdır.
Gelecekte, uyum alanı Alman şirketleri için büyük önem taşımaya devam edecek ve kamu yönetimi gibi diğer alanlara da yayılacaktır. Gelecekte karşılaşılacak diğer konu-ların, kişisel verilen korunması hukuku ve dijitalleşme alanında olması da muhtemeldir.
